Ogólne rozporządzenie o ochronie danych jest aktem, który dotyczy każdego przedsiębiorcy. Zarówno wielkich korporacji, jak i mikroprzedsiębiorców, niezależnie od rodzaju prowadzonej działalności. RODO stosujemy w spółkach giełdowych i w lokalnej szkole językowej. W niniejszym artykule dowiesz się, jakie podstawowe obowiązki RODO ma podmiot prowadzący jednoosobową działalność gospodarczą.
Obowiązki mikroprzedsiębiorcy – klauzule informacyjne
Przedsiębiorca przetwarzający dane osobowe osób fizycznych w świetle przepisów jest administratorem tych danych (podmiotem, który decyduje o celach i sposobach przetwarzania). Każdy administrator jest zobowiązany do przekazania osobom, których dane są przetwarzane tzw. klauzuli informacyjnej. Muszą się w niej znaleźć następujące informacje:
1) kto jest administratorem danych i jak można się z nim skontaktować oraz, gdy konieczne, tożsamość i dane kontaktowe swojego przedstawiciela;
2) dane kontaktowe Inspektora Ochrony Danych (jeśli został wyznaczony);
3) wszystkie cele przetwarzane wraz z podaniem podstawy prawnej przetwarzania. Jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO, należy podać prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią. Oznacza to, że nie wystarczy podać prawnie uzasadniony interes administratora, tylko trzeba go skonkretyzować. Może to być np. ustalenie, dochodzenie i obrona roszczeń, prowadzenie monitoringu wizyjnego, przekazywanie danych w ramach grupy kapitałowej;
4) informacje o odbiorcach danych lub o kategoriach odbiorców
5) jak długo dane będą przetwarzane (należy wskazać konkretny okres, a gdy nie jest to możliwe, wskazać kryteria ustalenia tego okresu;
6) jakie prawa przysługują osobie, której dane są przetwarzane:
- prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania,
- prawo wniesienia sprzeciwu wobec przetwarzania przenoszenia danych,
- prawo wycofania zgody na przetwarzanie w każdym czasie, jeśli zgoda jest podstawą przetwarzania,
- prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych;
7) jeśli ma zastosowanie – zamiar przekazania danych do państwa trzeciego (spoza Europejskiego Obszaru Gospodarczego) lub do organizacji międzynarodowej. Powinno to zawierać również: informacje o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony, wzmiankę o odpowiednich i właściwych zabezpieczeniach, informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
8) jeśli ma zastosowanie – informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (o którym mowa w art. 22 ust. 1 i 4 RODO). Istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
W przypadku pozyskania danych w inny sposób niż od osoby, której dane dotyczą, należy w klauzuli informacyjnej poinformować także o:
- kategoriach odnośnych danych osobowych;
- źródle pozyskanych danych (t.j. skąd dane zostały pozyskane), a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
RODO mikroprzedsiębiorcy – realizacja praw osób, których dane dotyczą
RODO przyznało każdej osobie, której dane są przetwarzane, możliwość dochodzenia swoich praw, powołując się bezpośrednio na przepisy Rozporządzenia. Przedsiębiorca ma obowiązek ułatwić wykonanie praw przysługujących na mocy RODO. Wyjątkiem są sytuacje, gdy administrator danych nie jest w stanie zidentyfikować osoby występującej z żądaniem.
Przedsiębiorca tak musi zorganizować proces przetwarzania, aby w przypadku żądania realizacji praw na mocy art. 15-22 RODO mógł właściwie zareagować. Dotyczy to potwierdzenia tożsamości osoby występującej z żądaniem, sprostanie żądaniom (jeśli prawo go do tego zobowiązuje), udzielenie odpowiedzi w terminie.
Obowiązki RODO – upoważnienie oraz powierzenie
Należy nadać odpowiednie upoważnienia do przetwarzania danych lub podpisać umowę powierzenia przetwarzania danych osobowych. Jeśli przedsiębiorca zatrudnia pracowników, należy zrobić to pisemnie. W przypadku współpracowników, którzy działają w strukturach organizacyjnych administratora, również upoważnienie jest wystarczające. Dla pozostałych współpracowników (działających poza strukturami przedsiębiorcy) oraz dla kontrahentów, którzy przetwarzają dane w imieniu administratora, należy zawrzeć umowę powierzenia. Określa ona:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora.
Umowę powierzenia należy zawrzeć z zewnętrznym podmiotem świadczącym usługi kadrowe, księgowe, czy IT.
Bezpieczeństwo przetwarzania
Osób prowadzących jednoosobowe działalności gospodarcze dotyczą kolejne obowiązki RODO. Mikroprzedsiębiorca jako administrator musi wdrażyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. W szczególności może wynikać ono z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator powinien uwzględnić przy tym:
- stan wiedzy technicznej,
- koszt wdrożenia,
- charakter, zakres, kontekst i cele przetwarzania,
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Obowiązki RODO wskazują, że mikroprzedsiębiorca zobowiązany jest w stosownym przypadku zapewnić:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych oraz organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Podsumowanie: RODO – obowiązki mikroprzedsiębiorcy
Powyższe rozważania nie wyczerpują całego tematu obowiązków osób prowadzących jednoosobową działalność gospodarczą w zakresie ochrony danych osobowych. Jednak warto zwrócić uwagę, że jeżeli taki podmiot wszystkie czynności wykonuje osobiście, to zakres obowiązków narzuconych przez RODO zostanie znacznie ograniczony. Ma to związek m.in. z brakiem potrzeby nadawania upoważnień do przetwarzania danych pracownikom i współpracownikom
Obowiązki mikroprzedsiębiorcy nie zależą od uzyskanego przychodu, liczby zatrudnionych osób, czy liczby klientów. Podstawowe znaczenie ma rodzaj, skala i kategoria przetwarzanych danych. Jeśli potrzebujesz pomocy w realizacji obowiązków wynikających z RODO, w tym wdrożenia odpowiedniej dokumentacji, zapraszamy do kontaktu. Pracownicy Kancelarii Halaś i Wspólnicy z przyjemnością Ci pomogą.